Mayo 10, 2019

Qué es un servicio -exclusivo- de Internet

Archivado en: Comercio Electrónico, Emprender — Etiquetas: , , — legisconsulting @ 10:17

Determinar si un servicio es exclusivamente un Servicio de la Sociedad de la Información o algo más, determinará su normativa aplicable, las obligaciones a que está sometido y su régimen de sanciones. Mucho más que una mera disquisición jurídica.

Hace algo más de una semana, el Abogado General presentó sus conclusiones en un caso abierto ante el tribunal que implica a AIRBNB en Irlanda denunciada por una asociación francesa, pero que igual se pueden aplicar a una plataforma de venta de zapatos en El Escorial.

La argumentación -salvo matices- no es nueva, pero sí lo suficientemente clarificadora.

Resumiéndolo mucho, la cuestión en el caso concreto es si AIRBNB es sólo una plataforma de Internet o es algo más y se le deben aplicar las exigencias que recaen sobre las agencias inmobiliarias.

Conclusiones

A la cuestión planteada, el Abogado General plantea las siguientes conclusiones:

Sobre el servicio: Si el prestador del servicio no ejerce control algunos obre las modalidades esenciales de las prestaciones, constituye un servicio de la sociedad de la información.

Sobre las prestaciones accesorias: Y no impedirán esta calificación el hecho de que se ofrezcan prestaciones o servicios accesorios si estas prestaciones accesorias sean indivisibles y conformen un todo indisociable con esos servicios.

Sobre la normativa aplicable: Solo se podrán exigir requisitos adicionales en aplicación de normativas de terceros países (Francia en este caso)  para proteger los derechos de los consumidores.

Sobre donde se presta el servicio: Sólo se podrán establecer requisitos y exigencias adicionales al Servicio de la Sociedad de la Información en terceros países (Francia en este caso):

  • si se ha tratado caso por caso y no de forma general.
  • previo requerimiento al país de origen (Irlanda en este caso) que adopte medidas específicas en materia de servicios de la sociedad de la Información.
  • Y previa notificación a la Comisión Europea.

En conclusión, la asunción de un servicio exclusivamente como de la Sociedad de la Información permite al emprendedor prestador del servicio tener perfectamente cuáles son sus obligaciones y responsabilidades, no ya solo en su país de residencia, sino en tota la Unión Europea.

Nota de prensa TJUE

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 28, 2019

Warning!: Brexit y Protección de Datos.

Brexit is eventually a disaster for everyone(*).

Llevo semanas no queriendo escribir este post con la ilusa esperanza de que el Brexit no se materializaría, pero después de las votaciones de ayer, la conclusión parece clara: el hijo británico es firme en su decisión de emanciparse de la casa comunitaria (UE) después de 45 años. Pero el hijo ‘emancipando’ exige poder seguir yendo a comer, a que le hagan la colada y a que le planchen la ropa; Y mamá UE está en firme desacuerdo.

Así que todo parece indicar que habrá riña doméstica en forma de Brexit duro. Y la riña del Brexit duro nos obligará a hacer cambios a todos los que usamos un ordenador para una actividad no estrictamente personal y privada.

Cualquier negocio o profesional, de cualquier tamaño, que mantenga una página Web o use cualquier servicio online (almacenamiento, copias de seguridad, etc) debe hacer ya algunas comprobaciones con el fin de evitar posibles multas.

CAPÍTULO V

Transferencias de datos personales a terceros países u organizaciones internacionales

Artículo 44

Principio general de las transferencias

Solo se realizarán transferencias de datos personales que sean objeto de tratamiento o vayan a serlo tras su transferencia a un tercer país u organización internacional si, a reserva de las demás disposiciones del presente Reglamento, el responsable y el encargado del tratamiento cumplen las condiciones establecidas en el presente capítulo, incluidas las relativas a las transferencias ulteriores de datos personales desde el tercer país u organización internacional a otro tercer país u otra organización internacional. Todas las disposiciones del presente capítulo se aplicarán a fin de asegurar que el nivel de protección de las personas físicas garantizado por el presente Reglamento no se vea menoscabado.

Explicación

Un Brexit duro significa que Reino Unido pasa a ser automáticamente un tercer estado completamente ajeno a la normativa y al nivel de protección que  la normativa de la Unión otorga .

Ni Reino Unido ni sus empresas estarían en un primer momento dentro del marco del ‘decisiones de adecuación’ para la transferencia de datos personales a terceros países como el Privacyshield.

Aunque no os demos cuenta, hay numerosos servicios online que usamos a diario y que transmiten o almacenan datos en servidores de terceros países, tales como por ejemplo:

  • Sistemas de almacenamiento online del tipo Google Drive; Onedrive; Dropbox; Icloud; Mega, etc.
  • Sistemas de copias de seguridad o de respaldo.
  • Hosting .
  • Bases de datos.
  • Cookies.
  • Servicios de chat.
  • Análisis web.
  • Servicio al cliente.
  • Etc.

Warning!

  1. Compruebe todos los servicios que tiene contratados, porque es bastante frecuente que el titular de dichos servicios ni siquiera sepa que los tiene contratados. Por ejemplo las cookies que carga en su Web.
  2. Compruebe donde se encuentran los servidores de todos los servicios que tiene contratados.
  3. Y si algún servidor o Encargado del tratamiento se encuentra en Reino Unido, vaya buscando ya una alternativa legal.

No sabemos lo que falta, pero ello le evitará posibles multas.

.

(*)Lamentablemente ‘eventually‘ no significa lo mismo que ‘eventualmente

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 25, 2018

Servicio de adaptación fácil, segura y sin papeles al Reglamento — RGPD X

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , , — legisconsulting @ 13:15

Legisconsulting lanza un NUEVO SERVICIO que le ayudará a adaptar a su empresa al nuevo reglamento. Ahora y en el futuro.

Características del servicio

Fácil

Información y redacción de documentos adaptados a su actividad

Notificaciones periódicas sobre obligaciones del RGPD

Adopción de medidas  ”seguridad proactiva” obligatorias del el RGPD.

Seguro

Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Sin papeles

Almacenamos su documentación y le damos un  acceso remoto con claves personales

Mantenemos su documentación siempre actualizada a las novedades legislativas o a las directrices de la AGPD

Razones para elegir el servicio de Legisconsulting:

  1. Adaptaciones al Reglamento: Cualquier modificación sobre los datos del reglamento se implementará de manera fácil y ágil.
  2. Accesibilidad: Acceso a la documentación mediante claves personales en cualquier lugar y desde cualquier dispositivo.
  3. Actualización normativa Adaptación del servicio a cualquier actualización normativa o directriz de la AGPD que se produzca en el futuro.
  4. Cumplimiento de obligaciones proactivas Podrá demostrar que ha adoptado las obligatorias acciones activas para el tratamiento y la seguridad de los datos.
  5. Modificaciones Cualquier modificación se realizará de manera inmediata.
  6. Almacenamiento seguro Servicio de almacenamiento en servidores de seguridad de grado bancario alojados en la UE y con acceso HTTPS.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Abril 17, 2018

Como adaptar la Web al Reglamento de Protección de Datos — RGPD IX

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 11:26

El próximo 25 de mayo entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) que traerá la obligación de adaptarse al mismo a todas las Webs. Porque aunque para entonces no habrá Ley nacional, este será plenamente aplicable y la AGPD ya avisa que empezará a imponer sanciones por su incumplimiento.

Webs obligadas a adaptarse

Básicamente viene obligado quien viene obligado por la ya veterana en este mundo LSSI. Como ya hemos señalado en numerosas ocasiones en este Blog, cualquiera que mantenga una actividad económica relacionada de alguna forma con la Web. (Obligados).

El aviso de Privacidad

Todas las Webs deberán disponer de un texto de aviso de privacidad en que se informe a los usuarios de que se están captando datos personales. Qué datos de se están captando; con qué finalidad; quien los está captando;  cómo y por quien van a ser tratados esos datos; y durante qué plazo se van a conservar. (Tratamiento de los datos)

Además se debería proporcionar al usuario la nueva información obligatoria derivada del RGPD y de los nuevos derechos que le otorga el RGPD.

Pero es que además, de forma previa a la captación de los datos, el usuario debe prestar su consentimiento.

Las Cookies

El nuevo RGPD mantiene en su considerando 30 que en el momento en que la web instale algo en el ordenador (cookies) que permita identificar a una persona entramos en el ámbito de actuación del Reglamento, por ello cabe entender como válida en su práctica totalidad guía de Cookies que en su día publicó la AGPD en aplicación del Art. 22.2 LSSI que nos permite instalar tales cookies.

Por tanto, el  modelo de cookies sigue siendo válido, pero se acabó la mecánica habitual de “si sigue navegando acepta“. El consentimiento ya siempre debe ser expreso siempre y el texto (y la consiguiente consecuencia técnica) debería transformarse de algo del “si quiere seguir navegando con cookies, acepta“.

Las Condiciones de Servicio

Las Condiciones de Servicio integran en muchas ocasiones el mismo “Aviso de Privacidad” porque en muchas ocasiones resulta más práctico y facilita la usabilidad del sitio Web. Pero incluso en los casos en que no se integra, las propias condiciones del servicio y la forma en que se presta este pueden afectar al los datos personales; a como se captan y al uso que se hace de ellos. En este caso sería necesario adaptar también estas Condiciones de Servicio al RGPD.

El consentimiento

El consentimiento es la primera pieza angular del nuevo RGPD  y el que más cambios nos obligará a adoptar en las páginas Web y en la operativa de cualquier presencia online.

Como ya se ha señalado anteriormente, el consentimiento de verá ser siempre expreso y se deberán establecer mecanismos que demuestren que se ha prestado ese consentimiento de forma expresa y una forma segura de almacenar tales consentimientos.

Y la “Actitud”

Los datos no se podrán almacenar, tratar o usar como hasta ahora. Y sobre todo, la actitud no podrá ser la misma que hasta ahora.

Aunque parezca un concepto algo abstracto, el RGPD exige, como segunda piedra angular,  una actitud proactiva en el tratamiento y la protección de los datos personales. Actitud que debe reflejarse en acciones materiales concretas y demostrables que demuestren tal actitud. Algo nada abstracto pero mucho más flexible para los titulares de webs que deberán plantearse en cada caso concreto qué acciones deberían tomar. Y si no las encuentran, consultar a un especialista.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Marzo 2, 2018

Obligados a la protección de datos — RDPD VIII

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 13:07

El 25 de mayo entra plenamente en vigor en nuevo Reglamento Europeo de Protección de Datos que afecta a PYMES, autónomos y muchas personas que ni se les pasa por la imaginación que pudiesen estar obligados y por lo tanto expuestos a cuantiosas sanciones.

Obligados

En resumen, todo el mundo, ya sean personas físicas o jurídicas, con datos en ficheros personalmente total o parcialmente automatizados, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero de personas físicas, en actividades que no sean  exclusivamente personales o domésticas.

Es decir, cualquier dato personal en cualquier actividad que no esté exclusiva y únicamente relacionado con nuestra vida privada personal.

Artículo 2 Ámbito de aplicación material

2.El presente Reglamento NO se aplica al tratamiento de datos personales:

c) efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas;

Es casi textualmente lo mismo que señala la vigente LOPD y, como normativa complementaria en el campo que le es propio, la LSSI. Por ello disponemos de un amplio y detallado desarrollo de lo que esto significa. Así, quedarán dentro de las actividades sujetas a la ley todas las actividades económicas, incluidos “los servicios no remunerados por sus destinatarios, en la medida en que constituyan una actividad económica para el prestador de servicios“.

Pero esto es sólo el resumen y conviene analizar cada elemento  para ver si realmente se está sujeto a las obligaciones del Reglamento (RGPD).

Que son ‘Datos Personales’

Toda información sobre una persona física identificada o identificable cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;

Es decir, casi cualquier dato referido a una persona, desde su nombre o número de DNI hasta la dirección IP de su ordenador.

Que es un ‘Fichero’

Fichero es todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Es decir, desde las bases de datos en la nube, la agenda del teléfono, hasta la agenda de teléfonos en papel que dejó el abuelo en el cajón del despacho o hasta los Post-it con los teléfonos que pegamos a la pantalla son ‘ficheros‘ a efectos de la Ley .

Que es el ‘Tratamiento de datos’

Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;

Es decir, desde un punto de vista legal, desde guardas las IP de las personas que visitan nuestra Web hasta tirar el Post-it que decíamos antes a la papelera es ‘tratamiento‘ de datos.

En qué ‘Actividad’

La obligación se extiende a todo tratamiento datos personales independientemente de la actividad u objetivo que se persiga con los datos personales. Sólo existe una excepción general a esa norma si se ‘tratan‘  en un ámbito exclusivamente personal o doméstico.

Soy consciente de que el concepto puede ser lo suficientemente abstracto para que genere dificultad aplicarlo a un caso concreto, por lo que tal vez trasladarlo ejemplos concretos puede facilitar su comprensión.

Ejemplos

  • La agenda que los abuelos guardan en la mesita del teléfono: obviamente no hay nada tan doméstico ni personal como eso y por tanto estaría excluido de las obligaciones del RGPD.
  • El frutero de la abuela (o cualquier tienda física)  que le lleva a la compra a casa porque pesa.  Es igual de obvio que la dirección de la abuela no es una dato personal ni doméstico del frutero y debería cumplir todas las exigencias de la normativa de protección de datos aún cuando tenga la dirección en un papel en la caja.
  • Una Web en la que se venden productos, se ofrecen servicios o funciona como mero ‘escaparate’. En este casi Sí estará obligada a cumplir las disposiciones en materia de protección de datos aún cuando no se venda o contrate nada online. Aunque si a través de la Web no se recaba ningún tipo de dato personal ni se recaban datos ya sea de forma consciente o inconsciente (por uso de cookies por ejemplo). En ese caso NO estaría obligada por el simple hecho de que no hay datos que tratar.
  • Un blog en el que se enseña a diseñar y montar centros de mesa y en el que, como en la mayoría de los blogs, se permite dejar comentarios o hacer consultas con la dirección de Email, que es un dato personal:
  • Si el blog se mantiene -o desde la asociación de vecinos o la biblioteca municipal- y quien lo hace no tiene ninguna actividad profesional relacionada, esta persona NO estaría obligada.
  • Pero si el titular del blog tiene o es socio o trabajador con según qué responsabilidad en algún tipo de negocio relacionado con las flores en el sentido más amplio -desde una floristería; a un salón de banquetes; o a una funeraria, se me ocurre-, en este caso estaría fuera de su esfera estrictamente personal o doméstica y  SÍ estaría obligado a cumplir con todas las obligaciones aunque el único dato personal al que tenga acceso sea el Email de los usuarios con sus comentarios.
  • Un canal de Youtube en que se enseñan a fabricar anzuelos para la pesca. Al igual que en el caso anterior, en tanto se haga por diversión y se realice a titulo estrictamente personal, NO estaría obligado.  Al menos durante el tiempo en que las visitas no se cuenten por miles, porque cuando sea así y se empiece a cobrar, por poco que sea, entonces SÍ se pasará a estar obligado.
  • Médicos, dentistas, fisioterapeutas, etc. Los datos que tratan y a los que acceden están especialmente protegidos y sus obligaciones son mayores que las de resto de interesados y las sanciones por incumplimiento de dichas obligaciones, sustancialmente mayores. SÍ, SIEMPRE están obligados.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 27, 2018

La (obligatoria) nueva actitud ante los datos personales — RDPD VII

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , , — legisconsulting @ 15:44

Actitud proactiva real y demostrable del Encargado del tratamiento; tratamiento de datos a medida;  y seguridad creativa a medida. Son las nuevas obligaciones para el tratamiento que nos trae el Reglamento europeo de Protección de datos – RGPD.

Si bien se ha hecho hincapié en los últimos tiempos en la supresión de la obligación de notificación de ficheros ante la AGPD -obligación que efectivamente no recogen ni el RGPD ni el proyecto de Ley- lo cierto es que el Reglamento Europeo (RGPD) trae una  serie de obligaciones concebidas para involucrar directa y activamente en la protección del derecho fundamental que es el tratamiento de datos personales a las tres figuras centrales en este campo: el Encargado del tratamiento; el Responsable del Tratamiento; y el Delegado de Protección de Datos (DPO).

Medidas De Responsabilidad Activa

Es el encabezado que tanto el RGPD como la Ley le dan a este conjunto de medidas.

En ellas, el Responsable de los ficheros pasa de una tener una responsabilidad “pasiva-reactiva” (sólo miro hasta que surja el problema y entonces reacciono) a una responsabilidad “proactiva que mediante la adopción de medidas específicas —tratamiento a medidaa su caso, busque el cumplimiento no sólo de las normas y obligaciones específicas sino del cumplimiento de los principios de protección de datos. Y ello debiendo documentar como medio de prueba a ante la AGPD  toda su actividad en este sentido.

En concreto, y sin que como hemos señalado pueda tratarse de una lista tasada,  crea obligaciones o sugerencias que más vale cumplir en torno a distintas figuras, marcos y de actuación y códigos de conducta.

Encargado del tratamiento

Deberá ofrecer “garantías suficientes” en la aplicación de las medidas técnicas y organizativas necesarias al cada caso concreto.

El tratamiento de los datos que haga se regirá mediante contrato para el cual dispondremos de cláusulas tipo.

Estará subordinado al Responsable del Tratamiento y le proporcionará todo el apoyo técnico y organizativo así como toda la información de que disponga, incluida específicamente cualquier violación de la seguridad de los datos.

Y si llegara a cambiar los fines y medios del tratamiento usándolos en contra de la ley o RGPD, será considerado Responsable del tratamiento a todos los efectos, sobre todos los sancionadores.

Medidas técnicas

Las obligaciones dependerán de las circunstancias concretas de cada caso atendiendo a variables que van desde la naturaleza de los datos a los posibles riesgos o hasta a los costes y disponibilidad técnica que en todo caso puedan incluir entre otras

  1. la seudonimización (y/o tokenización)  y el cifrado de datos personales. Cifrado que no será obligatorio en todos los casos pero cuya implementación o no podrá acarrear distintas obligaciones o consecuencias caso de haber sido o no aplicadas, por lo que la recomendación general es establecer un sistema de cifrado adecuado y específico que además eximirá del deber de notificar en su caso brechas de seguridad ;
  2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
  3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
  4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.  Esto implica un análisis de los riesgos concretos del tratamiento para los interesados —seguridad a medida , debiéndose tener en consideración a la hora d la evaluación la posibilidad de peligros concretos en su caso como la destrucción, pérdida o alteración de los datos, la comunicación o acceso no autorizados o aquellos cuya vulneración sea susceptible de ocasionar daños y perjuicios físicos, materiales o inmateriales a los interesados.

El proceso de verificación, por supuesto, deberá quedar debidamente documentado.

Además, atendiendo a la inevitable falibilidad humana —por no decir algo peor—, el RGPD insta sin mencionarlo expresamente en el articulado a mitigar riesgos mediante la implementación de otros mecanismos que protejan los datos de acciones de los interesados lamentablemente tan extendidas como la pérdida del papelito donde apuntamos la contraseña, poner la fecha de nacimiento o picar en las extendidas campañas de “phishing” destinadas a obtener acceso a datos o cuentas.

Así, no hay duda cómo mecanismos como por ejemplo el de doble autenticación (2FA), demostrarían la diligencia y el deseo de proteger los principios inspiradores del RGPD. Y ello, como no, mitigaría sustancialmente las consecuencias de posibles infracciones llegado el caso.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 15, 2018

Información y acceso a los datos: RGPD IV

Archivado en: Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 10:41

Una parte esencial en tratamiento de datos es la información que se debe notificar al interesado cuando recabamos los datos o cuando este los solicita.

Tanto la nueva LOPD como el Reglamento (RGPD) hacen una división sobre la información que se debe facilitar en función de la fuente de dichos datos.

Si los datos se obtienen el propio interesado -por ejemplo mediante el registro en una Web- , el responsable del tratamiento le facilitará  en el mismo momento:

a)      la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b)      caso de que exista, los datos de contacto del delegado de protección de datos;

c)       los fines para los que se van a utilizar los datos personales y el modo en que se van a utilizar. Debiéndose solicitar una nueva autorización si se cambia la finalidad a que destinarán los datos.

En particular, si los datos obtenidos del afectado fueran a ser tratados para la elaboración de perfiles, se deberá informar de ello.

d)      los intereses legítimos concretos  del responsable del tratamiento o de un tercero para recabar esos datos;

e)      los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f)       en su caso, si se va a producir una transferencia internacional de datos -por ejemplo si se usa un servicio en la nube cuyos servidores se encuentran en el extranjero-.

Si los datos NO se obtienen el propio interesado, el Responsable del Tratamiento le facilitará, además de toda la información precedente:

a)      Las categorías de datos objeto de tratamiento y

b)      las fuentes de la que procedieran los datos  y, en su caso, si proceden de fuentes de acceso público;

c)       el plazo durante el cual se conservarán los datos personales o, cuando eso no sea posible, los criterios utilizados para determinar este plazo;

d)      la existencia de los derechos de acceso, rectificación o supresión y oposición, así como el derecho a la portabilidad de los datos;

e)      el derecho a retirar el consentimiento en cualquier momento;

f)       el derecho a presentar una reclamación ante la AGPD;

g)      la existencia de decisiones automatizadas, información significativa sobre la lógica aplicada en su caso, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Toda esa información deberá ser proporcionada  por el Responsable del Tratamiento al interesado como máximo en el plazo de un mes. O si los datos personales han de utilizarse para comunicación con el interesado, a más tardar en el momento de la primera comunicación a dicho interesado. O si los datos se van a comunicar a otro destinatario, como máximo en el momento en que los datos personales sean comunicados por primera vez.

Excepciones

Pero como todo no podía ser tan fácil, el RGPD si establece excepciones. Casos en los que el deber de información no es imprescindible y que pueden facilitar mucho la vida a Responsable del Tratamiento. Estas son:

  • que el interesado ya disponga de la información;
  • la comunicación de dicha información resulte imposible o suponga un esfuerzo desproporcionado,;
  • que la obtención o la comunicación esté expresamente establecida por Ley;
  • o cuando los datos personales deban seguir teniendo carácter confidencial sobre la base de una obligación de secreto profesional regulada por Ley.

Acceso

En todo caso, el interesado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen y, en tal caso, derecho de acceso a toda la información que le debería -o le fue- comunicada detallada anteriormente además de, caso de haber transferido los datos a un tercer país, las garantías relativas a la transferencia.  Para ello el Responsable del Tratamiento facilitará una copia de los datos personales objeto de tratamiento, pudiendo para ello exigir al interesado un canon razonable basado en los costes administrativos.

Es decir, vendremos obligados a entregar copia de los datos, pero podremos exigir el importe del coste que ello ocasione.

Finalmente sólo queda señalar la obviedad de que es obligatorio entregar o notificar toda la información citada anteriormente, pero es sabio conservar copia o justificante de haberla entregado.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Febrero 13, 2018

Datos especialmente protegidos – RGPD III

Archivado en: Comercio Electrónico, Protección de Datos, RGPD — Etiquetas: , , , — legisconsulting @ 12:01

Podemos tratar toda clase de datos siempre que medie consentimiento, pero hay algunas categorías de datos de los que el Reglamento (RGPD) prohíbe el tratamiento. Son datos “especialmente protegidos”, aunque -como casi todo en Protección de Datos- con matices.

Así, el Reglamento prohíbe el tratamiento de Datos:

  • que revelen el origen étnico o racial,
  • las opiniones políticas,
  • las convicciones religiosas o filosóficas,
  • la afiliación sindical,
  • el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física,
  • datos relativos a la salud
  • datos relativos a la vida sexual o las orientación sexuales de una persona física.

Salvo excepciones (y excepciones a las excepciones):

  • Que el interesado de su consentimiento explícito salvo que lo prohíba expresamente una ley.

Consentimiento que no bastará para levantar la prohibición según la nueva LOPD para datos relativos a la ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico… Pura matemática: prohibición x excepción x prohibición de la excepción = prohibido.

  • El tratamiento de los datos es necesario es necesario para el cumplimiento de obligaciones  legales en el ámbito del Derecho laboral y de la seguridad y protección social.

Es decir, que si hay una obligación legal que necesite del tratamiento de esa categoría de Datos, su tratamiento SÍ estará permitido.

  • El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

Si está capacitado, sí será necesario el consentimiento. O dicho en sentido contrario: según el Reglamento, hasta para salvarle la vida a alguien se necesita su consentimiento para tratar los datos si puede dar dicho consentimiento

  • El tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos. Si bien en este caso los datos exigirán de otros deberes de información que se tratarán por su extensión en otro Post.

-        Aviso a empresas de marketing, big data, etc. Los datos manifiestamente públicos podrán ser utilizados

-        Aviso a particulares: cuidado con lo que se cuelga y como se cuelga en Twitter, redes sociales, etc.

  • El tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
  • Por razones de Interés público.

Veremos el desarrollo si es que este llega a producirse, pero de momento esta excepción parece cajón de sastre que abre la puerta a posibles actuaciones Orwelianas;

  • El tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías contempladas en el apartado.

(Nota: Resuelta la excepción a la excepción: las ambulancias no necesitarán llevar formularios a firmar por el accidentado para poder comunicar al hospital la situación del mismo antes de llegar.)

  • El tratamiento es necesario por razones de interés público en el ámbito de la salud pública.
  • El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

En resumen, si se trata de una empresa, entidad o profesional podrá tratar datos especialmente protegidos como los datos relativos a la salud, datos genéticos sólo con consentimiento del interesado. Pero en ningún caso podrá tratar datos como la ideología, las convicciones religiosas o políticas, la vida sexual o la afiliación sindical, salvo que la normativa laboral nos obligue a tratarlos.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Enero 25, 2018

Cobrar online y tarjetas de crédito

Si tiene un negocio y vende o presta servicios por internet que cobra Online, no guarde los números de tarjetas de crédito de sus clientes, aunque sea para mejorar la experiencia de usuario.

El máximo objetivo de un emprendedor en Internet es ‘cobrar

Y la primera preocupación es ‘como cobrar’

Cobrar

Para ‘cobrar‘ contratamos un TPV virtual o servicio asimilado que nos proporciona una Entidad de Servicios de Pago o un banco (PAYPAL lo es) que preste servicios de pago y actúa como prestador de este tipo de servicios.

Por ley, sólo las Entidades de Crédito (bancos), las Entidades de Dinero Electrónico y las Entidades de Servicios de Pago pueden prestar estos servicios. Y en particular sobre estas últimas, sólo las Entidades de Pago que constan en el listado que publica el Banco de España. Hay otras muchas a las que se puede acceder a través de Internet, algunas de la Unión Europea, pero exclusivamente las que figuran en el listado periódicamente actualizado pueden operar en España con todas las garantías.

Art. 3.9 Ley de Servicios de Pago. «Proveedor de servicios de pago»: los organismos públicos, entidades y empresas autorizadas para prestar servicios de pago en España o en cualquier otro Estado miembro de la Unión Europea…;

Usabilidad… ilegalmente

En el comercio electrónico es algo que ya prácticamente no se hace, pero era común hace no tanto tiempo -en su mayor parte sin mala intención y para facilitar la experiencia de usuario- que los sitios web conservaran los datos de las tarjetas de su clientes. Es algo prohibido por Ley y que puede acarrear graves consecuencias.

La Ley de Servicios de Pago autoriza a estas entidades a realizar “actividades de custodia y almacenamiento y tratamiento de datos” (Art 9.1.a) al tiempo que establece un régimen sancionador calificándolas como infracciones “graves” para quien realice las actividades que le son propias sin contar con autorización. Remitiendo el régimen sancionador a la Ley que regulas las sanciones que se le impondrían a un banco.

Art. 4.4 Ley de Servicios de Pago: “Las personas físicas o jurídicas que infrinjan lo dispuesto en este artículo, serán sancionadas con arreglo a lo dispuesto en el artículo 29 de la Ley 26/1988, de 29 de julio, sobre disciplina e intervención de las entidades de crédito sin perjuicio de las demás responsabilidades que puedan resultar exigibles.”

La citada Ley de disciplina e intervención de entidades de crédito ha sido ya derogada, pero ello no implica que haya desaparecido el régimen sancionador. Ha sido sustituida por la Ley 10/2014, de 26 de junio, de ordenación, supervisión y solvencia de entidades de crédito que establece una sanción de,

a) De entre el doble y el triple del importe de los beneficios derivados de la infracción, cuando dichos beneficios puedan cuantificarse; o

b) De entre el 3% y el 5% del volumen de negocios neto anual total, incluidos los ingresos brutos procedentes de intereses a percibir e ingresos asimilados, los rendimientos de acciones y otros valores de renta fija o variable y las comisiones o corretajes a cobrar que haya realizado la entidad en el ejercicio anterior; o multa de entre 2.000.000 y 5.000.000 de euros, si aquel porcentaje fuera inferior a esta cifra.

Experiencia de usuario… legalmente

Es bien sabido que en el Comercio Electrónico la experiencia de usuario lo es todo, o casi. Cuando hacemos una compra por Internet , al momento del pago nos piden los datos de la tarjeta, de PAYPAL  del medio de pago que mejor nos convenga como usuarios. Y en la misma página de la tienda introducimos esos datos para realizar el pago. Pero eso es falso.

Aunque lo parezca, los datos de la tarjeta no se los estamos dando a la tienda ―o no deberíamos―, sino a una entidad de pago que es quien recibirá esos datos, los tratará y los gestionará para realizar el pago.

Pero además hay tiendas que mejoran la experiencia de usuario y nos permiten realizar la compra sin necesidad de volver a introducir los datos de la tarjeta (pagos recurrentes, se llama desde el punto de vista de los servicios de pago). En este caso la tienda tampoco se ha quedado con los datos de la tarjeta, sino que se ha quedado simplemente con los datos del usuario que ha concedido una autorización a la Entidad de Pago para realizar esos pagos recurrentes a través de un mecanismo que se llama Tokenización y que permite a los comercios electrónicos mejorar la experiencia de usuario sin infringir la ley y con total seguridad para el usuario.

La tokenización es algo que no ofrecen todas las plataformas de pago, pero es una solución útil y legal para el emprendedor informado y eficiente.

Emprender el internet es un proceso complejo en el que intervienen numerosos y muy diversos elementos legales. Si va a emprender, contáctenos y le apoyaremos en el proceso aportándole la seguridad que necesita.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Noviembre 22, 2017

Los Reyes Magos y el (nuevo) Reglamento de Protección de Datos (RGPD)

Archivado en: Comercio Electrónico, Protección de Datos — Etiquetas: , , — legisconsulting @ 11:07

Post recomendado exclusivamente para mayores o menores informados.

Magia e ilusión en estado puro, pero antes que los Reyes Magos (ciudadanos extracomunitarios) le toca otro personaje del mismo gremio, vecino nuestro y residente comunitario suponemos que en alguna urbanización de la costa: San Nicolás (Sinterklaas en los Países Bajos), que no sabemos si cobra el PER el resto del año, pero que sólo trabaja el 6 de diciembre (poco que ver con el Papa Noel  o Santa Claus que llega la noche del 24 de diciembre).

Sinterklaas es como nuestros Reyes Magos, sólo que en lugar de venir de Oriente en camello dice la tradición que es un obispo mayor de barba larga, vestido de fiesta mayor, al que nadie debería extrañarse de ver en la planta de juguetes de El Corte Inglés o similar y que va desde España en barco a Holanda y Bélgica a llevar regalos y dulces naranjas… aunque en este año pudiera pensarse que no deben haber sido muy buenos los niños por esos lares cuando Zwartemont(1),, por la cara que se les ha quedado, parece haberles llevado más limones que dulces naranjas a los belgas.

Sinterklaas y el RGPD

Pero, como este es un blog jurídico y como tal vamos a tratarlo, pasamos a plantear de forma concisa los elementos claves de la situación jurídica de Sinterklaas a la luz del RGPD :

  • Como hemos visto, Sinterklaas es residente en España (residente comunitario)
  • Sinterklaas es mágico y dispone de datos para saber qué niños se han portado bien y cuáles no… un fichero organizado de datos en toda regla.
  • Los datos de que dispone son de niños comunitarios (Holanda y Bélgica entre otros), por lo que las exigencias no serían mayores que si los fueran españoles.
  • Evidentemente  es una cantidad masiva de datos, con lo cual entendemos que dispondrá de un Delegado de Protección de Datos.
  • Como  la actividad de Sinterklaas se inicia con una acción activa del interesado pidiendo regalos por carta, eso supone obviamente una autorización expresa.
  • Pero -salvo algún despistado- los firmantes son menores de 13 años, así que sus padres deberán firmar su autorización a la tenencia de los datos(2).
  • En el fichero figura cómo se han portado cada niño (son datos de comportamiento íntimo y de lo más personal) y sabe lo que quieren de regalo (hábitos de consumo)
  • Pero es que además esos menores están en otro país de la UE.
  • Podemos suponer que aunque sea muy estacional, dado el volumen de trabajo dispondrá de más de 250 ayudantes, así que deberá mantener un “Registro de Actividades”.
  • Normalmente las comunicaciones con Sinterklaas o los Reyes se realizan por correo postal, así que como no hay otra forma, con los regalos deberíamos encontrar por la mañana un documento en que figure toda la información que ya contamos antes en otro post.

Y al margen de esto también cabe preguntarse,  ¿tendrá Sinterklaas, como residente y con los servidores en España, el fichero inscrito ante la AGPD?… al menos hasta el 25 de mayo que en principio dejará de ser obligatorio, debería.

¿¡Y qué pasa con los Reyes Magos!?

Los Reyes Magos disponen de los mismos datos y hacen el mismo uso de los mismos planteado para Sinterklaas, pero como resulta evidente, lo tienen más difícil y el uso y ‘manejo’ de esos datos tendrá muchas más exigencias.

Los Reyes Magos lo son de Oriente y, por lo tanto, son ciudadanos extracomunitarios.  No sabemos a día de hoy si como jefes de Estado tendrán pasaporte diplomático, si FRONTEX les permitirá llegar este año, si habrán conseguido ya el preceptivo visado o si habrán hecho la los trámites aduaneros necesarios para los regalos. Pero como este post va de protección de datos y no de extranjería o fiscalidad, dejaremos de lado este complicado tema y pasemos a lo que nos ocupa.

Los datos sobre los niños y su bondad o maldad a lo largo del año se recaban aquí por un -o tres en este caso- no residente/s. Y, como hemos visto,  posteriormente son trasladado a su domicilio social en territorio extracomunitario. Ello implica una transferencia internacional de datos que exigiría:

  • Normas corporativas vinculantes para responsables y Encargados del tratamiento
  • Aceptación expresa para la transferencia por parte del mayor de 13 años(2) o sus tutores legales .
  • Autorización expresa por parte de la AGPD.
  • Cláusulas contractuales para el tratamiento de datos y los correspondientes garantías en Oriente que deberán ofrecer los Reyes magos debidamente firmadas.

Los Reyes magos sólo podrían transmitir los datos sin autorización previa al lugar de su domicilio social sin nivel adecuado de protección cuando esa transferencia sea necesaria para satisfacer intereses legítimos, imperiosos del responsable y la transferencia no es repetitiva y afecta sólo a un número limitado de interesados…. Algo para lo que no parece que se adapte a la norma por mucho que forcemos la interpretación alegando los únicos interesados son los niños (muy limitado) y que es temporal hasta que cuando crezcan descubran “LA VERDAD” de los Reyes Magos y Sinterklaas.

Magos Intenational Network

Me preguntaba hace ya un tiempo una persona profundamente preocupada por el tema: “¿¡Sinterklaas se ‘chiva’ a los Reyes magos!?”. Y yo pienso: si Sinterklaas se ‘chiva‘, es una transferencia extracomunitaria de datos.

Si los datos son comunicados por Sinterklaas porque es un chivato, entonces estamos ante una transferencia extracomunitaria de datos a un tercero fuera de la UE en un lugar que suponemos -viendo en las noticias  como está por el ‘Oriente’-  que no es un “lugar que ofrezca un nivel de protección adecuado” de acuerdo con la Comisión Europea y que por lo tanto exigirá a Sinterklaas obtener los mismos datos que hemos visto en el punto anterior que se exigirían a los Reyes magos y, además la notificación expresa a los niños mayores de 13 años(2) o a sus tutores legales, el detalle de los términos concretos de su acuerdo con los Reyes Magos (medidas de seguridad a adoptar en Oriente, plazo de cesión, uso de los datos, etc. etc., etc )

Mantener la ilusión: nota para interesados

Para caso de que lleguen a leer esto a pesar de la elevada carga de trabajo que deben tener en estas fechas, queremos aprovechar este post para instar encarecidamente tanto a Sinterklaas como a los Reyes Magos  que cumplan todas las obligaciones legales expuestas anteriormente. Con el nuevo RGPD y la nueva LOPD la Agencia de Protección de Datos mantiene sus facultades para aplicar unas sanciones para las que, a la espera del desarrollo reglamentario, ve reforzadas su discrecionalidad, su capacidad para graduarlas…. y su cuantía:

  • Para algunas infracciones, el importe de mayor cuantía entre: hasta 10.000.000,00€ o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior
  • Para otras infracciones consideradas más graves, el importe de mayor cuantía entre: hasta 20.000.000,00€ o hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior
  • Y esta última sanción de igual importe por no atender las resoluciones de la  AGPD

Para mantener la ilusión de niños y mayores, les rogamos desde aquí que cumplan ustedes con las obligaciones, no vaya a ser que el presupuesto se resienta por el paso de la AGPD y la magia los Reyes la tengan que usar de verdad para que los regalos tras la publicación del RGPD no se limiten a los excedentes de carbón del cierre de las térmicas o como mucho a juguetes de los chinos.

Deseamos desde aquí que tengamos todos un año lleno de ilusión y magia -a ser posible no financiera-.

.

.

(1) ‘Zwarte Pieten’ son los pajes ayudantes de Sinterklaas(San Nicolás, nada que ver con Papa Noel  o Santa Claus que llega en 24 de diciembre)

(2) La edad mínima fijada por el RGPD  para dar validez para prestar consentimiento menores es de 16 años, aunque autoriza a los estados a fijar una edad menor que en ningún caso se a inferior a 13 años. La edad actual en la LOPD es de 14 años, pero el proyecto de ley parece que lo adelanta hasta los 13 años que fija el RGPD.

Post to Twitter Post to Plurk Post to Delicious Post to Facebook

Entradas más antiguas »